例:MXシリーズルーターでのキャプティブポータル認証の設定
Junos OS リリース 14.2 以降、ルータでキャプティブ ポータル認証(以降、キャプティブ ポータルと呼びます)を設定して、Web ブラウザの要求を、ユーザがユーザ名とパスワードの入力を必要とするログイン ページにリダイレクトできるようになりました。認証が成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。
この例では、MX シリーズ ルータでキャプティブ ポータルを設定する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
キャプティブポータルをサポートするMXシリーズルーター
MXシリーズルーター向けJunos OSリリース14.2以降
開始する前に、以下を満たしているか確認してください。
ルーターで基本的なブリッジングとVLAN設定が実行されていること。
SSL証明書を生成し、ルーターにインストールしました。
MX シリーズ ルーターと RADIUS サーバー間の構成済み基本アクセス。
キャプティブポータルのログインページをデザインしました。.
概要とトポロジー
この例では、インターフェイスでキャプティブ ポータルを有効にするためにルーターで必要な設定を示します。キャプティブ ポータル インターフェイスに接続されたプリンターがキャプティブ ポータルを経由せずに LAN にアクセスできるようにするには、その MAC アドレスを認証許可リストに追加します。このリストの MAC アドレスは、キャプティブ ポータルなしでインターフェイス上でのアクセスが許可されます。
トポロジー
この例のトポロジーは、RADIUS認証サーバーに接続された1台のMXシリーズルーターで構成されています。ルーターの 1 つのインターフェイスは、キャプティブ ポータル用に設定されています。この例では、インターフェイスはマルチ サプリカント モードで設定されています。
設定
ルーターでキャプティブポータルを設定するには:
CLIクイック構成
要件セクションのタスクを完了した後、ルーターでキャプティブポータルをすばやく設定するには、次のコマンドをコピーしてルーターターミナルウィンドウに貼り付けます。
[edit] set system services web-management http set system services web-management https local-certificate my-signed-cert set protocols captive-portal-custom-options secure-authentication https set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple set protocols authentication-access-control static 00:10:12:e0:28:22 set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
手順
ステップバイステップでの手順
ルーターでキャプティブ ポータルを設定するには:
ルーターで HTTP アクセスを有効にします。
[edit] user@router# set system services web-management http
ルーターへのWebアクセス用のセキュアチャネルを作成するには、HTTPS用のキャプティブポータルを設定します。
注:HTTPS を有効にしなくても HTTP を有効にできますが、セキュリティ上の理由から HTTPS をお勧めします。
ステップバイステップでの手順
セキュリティ証明書を Web サーバーに関連付け、ルーターで HTTPS アクセスを有効にします。
[edit] user@router# set system services web-management https local-certificate my-signed-cert
HTTPS を使用するようにキャプティブ ポータルを設定します。
[edit] user@router# set protocols captive-portal-custom-options secure-authentication https
キャプティブ ポータルのインターフェイスを有効にします。
[edit] user@router# set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple
(オプション)特定のクライアントがキャプティブ ポータルをバイパスすることを許可します。
注:クライアントがすでにルーターに接続されている場合は、MAC アドレスを許可リストに追加した後、 コマンドを使用して、キャプティブポータル認証 からMACアドレスをクリアする必要があります。
clear captive-portal mac-address mac-addressそれ以外の場合、MAC アドレスの新しいエントリはイーサネット ルーター テーブルに追加されず、認証バイパスは許可されません。[edit] user@router# set protocols authentication-access-control static 00:10:12:e0:28:22
注:オプションで、を使用してスコープをインターフェイスに制限できます 。
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0(オプション)最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、認証後 URL を構成します。
[edit services captive-portal] user@router# set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
結果
設定の結果の表示:
[edit]
user@router> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\nMIICXwIBAAKBgQDk8sUggnXdDUmr7T vLv63yJq/LRpDASfIDZlX3z9ZDe1Kfk5C9\nr/tkyvzv
...
Pt5YmvWDoGo0mSjoE/liH0BqYdh9YGqv3T2IEUfflSTQQHEOShS0ogWDHF\ nnyOb1O/vQtjk20X9NVQg JHBwidssY9eRp\n-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
protocols {
authentication-access-control {
static 00:10:12:e0:28:22/48;
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
custom-captive-portal-options {
secure-authentication https;
post-authentication-url http://www.my-home-page.com;
}
}
検証
キャプティブポータルが設定され、正常に動作していることを確認するには、次のタスクを実行します。
キャプティブポータルがインターフェイスで有効になっていることを確認する
目的
キャプティブ ポータルがインターフェイス ge-0/0/10 で設定されていることを確認します。
アクション
以下の動作モードコマンド を使用します。show captive-portal interface interface-name detail
user@router> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
意味
出力では、キャプティブ ポータルがインターフェイス ge-0/0/10 で、再試行回数、quiet 期間、CP セッション タイムアウト、およびサーバ タイムアウトのデフォルト設定で設定されていることを確認します。
トラブルシューティング
キャプティブ ポータルのトラブルシューティングを行うには、次のタスクを実行します。
キャプティブポータルのトラブルシューティング
問題点
ルーター上のキャプティブ ポータル インターフェイスに接続しているユーザが Web ページを要求した場合、ルーターはキャプティブ ポータル ログイン ページを返しません。
ソリューション
ARP、DHCP、HTTPS、DNS の各カウンターを調べることができます。これらのカウンターのうち 1 つ以上が増加していない場合は、問題がどこにあるかがわかります。例えば、クライアントが IP アドレスを取得できない場合、ルーターのインターフェイスをチェックして、DHCP カウンターが増加しているかどうかを判断します。カウンターが増加している場合は、ルーターが DHCP パケットを受信しました。
user@router> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。